Cet article est le huitième d’une série d’articles[1] examinant les changements apportés par le « Data (Use and Access) Act 2025 » ou Loi DUA par comparaison au RGPD.

La loi DUA réécrit les dispositions du RGPD britannique (modelées sur le RGPD européen) relatives à la limitation des finalités. Elle réorganise quelque peu les règles sur la limitation des finalités articles 5, 6 et 23 RGDP, en créant un article 8 paragraphe 4 qui complète l’article 5 (et y transfère l’article 6 (4)).

Le principal objectif est de lister un certain nombre de cas dans lesquels le traitement ultérieur est présumé compatible.

Le principe général est qu’un nouveau traitement (sur des données collectées directement ou indirectement auprès d’une personne concernée) ne puisse avoir lieu que s’il est compatible avec les finalités du traitement initial. La compatibilité ne suffit pas pour autant à la légalité du traitement

Pour vérifier la compatibilité des finalités, l’article 8 (4) 2 reprend le fait de prendre en compte les éléments listés à l’article 6 (4) RGPD et tient compte, entre autres : du lien éventuel entre les finalités, du contexte de la collecte des données, de la nature des données, des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées et de l’existence de garanties appropriées.

Cependant, la loi DUA précise que le traitement sera considéré compatible dans l’une des situations suivantes :

  1. la personne concernée donne son consentement à la nouvelle finalité.
  2. le traitement est effectué pour des finalités de recherche scientifique ou historique, des archives dans l’intérêt public ou des statistiques.
  3. le traitement ultérieur est effectué lui-même précisément pour s’assurer de la compatibilité des finalités et pour pouvoir le démontrer.
  4.  le traitement correspond à une des conditions de l’annexe 2 du RGPD britannique qui présente une liste de dérogations jugées compatibles avec la finalité initiale. Celles-ci incluent : la divulgation aux autorités publiques lorsque celles-ci déclarent avoir besoin des données pour une mission d’intérêt public (sans qu’il soit besoin de vérifier la légitimité de la demande des autorités), également reconnue par l’article 23 du RGPD britannique, la divulgation à des fins de sécurité publique, d’intervention d’urgence, de protection des personnes vulnérables, de protection des intérêts vitaux, de prévention et de détection de la criminalité, d’évaluation ou collecte de l’impôt et de respect des obligations légales. Le Secretary of State pourra ajouter modifier ou supprimer des cas de l’annexe 2 dans certaines circonstances.
  5.  Le traitement nécessaire à la sauvegarde d’un objectif énuméré à l’article 23(1)(c) à (j) et autorisé par une loi ou une règle de droit est également considéré comme un traitement compatible. Auparavant, la législation britannique sur la protection des données ne prévoyait des dérogations à la limitation des finalités pour des motifs d’intérêt public que si ces derniers étaient spécifiquement mentionnés à l’annexe 2 du DPA 2018. La loi supprime cette obligation, permettant ainsi à de multiples autres lois, antérieures ou postérieures à la loi, de constituer des exceptions à la limitation des finalités.

Si un responsable du traitement se fonde initialement sur le consentement comme base légale, la loi transpose le point de vue de l’ICO, selon lequel un nouveau consentement sera requis pour tout traitement ultérieur, sauf si une dérogation d) ou e) de l’article 23(1) s’applique et qu’il ne puisse raisonnablement pas être attendu du responsable du traitement qu’il obtienne ledit consentement pour la finalité ultérieure.

Lorsqu’un responsable du traitement souhaite effectuer un traitement ultérieur à des fins de recherche scientifique ou historique et que la base légale initiale était le consentement, il devra alors obtenir à nouveau le consentement des personnes concernées.

Le traitement ultérieur à des fins d’intérêt public est simplifié, tandis que le traitement ultérieur à des fins de recherche scientifique est quelque peu restreint. Les modifications clarifient le fait que les règles s’appliquant au traitement ultérieur ne peuvent être utilisées que pour un nouveau traitement par le même responsable de traitement. Tout utilisation par un nouveau responsable du traitement ne pourra pas bénéficier des dérogations de compatibilité mais devra respecter le RGPD en considérant son traitement comme le traitement principal (et non ultérieur).

Voir aussi notre article en anglais
The Data (Use and Access) Act 2025: A New Chapter in the UK’s Data Protection

[1] Lire aussi :

1- Le Data (Use and Access) Act 2025 réforme le droit de la protection des données au UK

2 – DUAA 2025 : prise de décision individuelle automatisée au UK

3 – DUAA 2025 : introduction de « l’intérêt légitime reconnu » au UK

4 – DUAA 2025 : droits des personnes concernées et mécanismes de réclamation au UK

5 – DUAA 2025 : vie privée et communications électroniques au UK

6 – DUAA 2025 : transferts internationaux de données – refonte de l’évaluation des risques au UK

7 – DUAA 2025 : catégories particulières de données et protection des enfants au UK

8 – DUAA 2025 : principe de limitation des finalités et présomption de compatibilité au UK

9 – DUAA 2025 : utilisation des données à des fins de recherche scientifique au UK